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(QJ L'invention concerne un precede de mise en oeuvre 
dans un composant electronique, cf un algorithme de cryo- 
tographie utilisant cfes moyens de calcul, caracterlse en ce 
que qu il consiste a rSaliser les etapes suivantes: 

a) choisir une valeur e parml un nornbre determine de 
vaieurs e j , e , 6tant des nombres entiers 

b) tester si e s v6rifie une relation predeterminee: 

si c'est le cas, alors e=ei, et memoriser e en vue de son 
utilisation dans des calculs dudit algorithme de cryptogra- 
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PROCEDE DE MISE EN CEUVRE, DANS UN COMPOSANT 
ELECTRON IQUE , D 1 UN AXGORITHME DE CRYPTOGRAPH IE ET 
COMPOSANT CORRESPOND ANT 

L 1 invention concerne un procede de mise en oeuvre, 
dans un composant electronique, d'un algorithme de 
cryptographie . 

L f invention se rapporte egalement au composant 
electronique correspondant . 

De tels composants sont utilises dans des 
applications ou l'acces a des services ou a des donn£es 
est s6verement controle. lis ont une architecture 
form6e autour d'un microprocesseur et de memoires, dont 
une memoire programme de type ROM ("Read Only Memory" 
en anglais) qui contient le(s) nombre(s) secret (s) d. 

Ces composants sont utilises dans des syst^mes 
informatiques, embarques ou non ; ils sont notamment 
utilises dans les cartes a puce, pour certaines 
applications de celles-ci. Ce sont par exemple des 
applications d T acc£s £ certaines banques de donnees, 
des applications bancaires, des applications de t£le- 
peage, par exemple pour la television, la distribution 
d' essence ou encore le passage de peages d T autoroutes . 

Ces composants ou ces cartes mettent done en oeuvre 
un algorithme de cryptographie pour assurer le 
chiffrement de donn6es 6mises et/ou le d^chif f rement de 
donnees regues lorsque celles-ci doivent demeurer 
conf identielles . 

De mani^re g<§n£rale et succincte, ces algorithmes 
cryptographiques ont notamment pour fonction le 
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chiffrement ou la signature num6rique d'un message. A 
partir de ce message applique en entree a la carte par 
un systeme hote (serveur, distributeur bancaire...) et 
de nombreux secrets contenus dans la carte, la carte 
fournit en retour au systdme hote le message chiffre ou 
signe, ce qui permet par exemple au systeme hote 
d'authentifier le composant ou la carte, d'§changer des 
donn6es, .... 

Les caract^ristiques des algorithmes de 
cryptographie sont connues : calculs effectues, 
parametres utilises. La seule inconnue est le ou les 
nombres secrets contenus en m^moire programme, Toute la 
security de ces algorithmes de cryptographie tient dans 
ce(s) nombre(s) secret (s) contenu(s) dans la carte et 
inconnu(s) du monde ext£rieur £ cette carte. Ce nombre 
secret ne peut etre deduit de la seule connaissance du 
message applique en entree et du message chiffr<§ fourni 
en retour. 

Or il est apparu que des attaques externes 
permettent a des tiers mal intentionnes de trouver 
le(s) nombre (s) secret (s) contenu(s) dans cette carte. 
Dans le domaine de la carte a puce/ entre autres, il 
existe plusieurs attaques possibles, dont une dite 
"attaque par faute". 

Dans ce type d T attaque, l'attaquant injecte une 
faute quelconque pendant le calcul d'un algorithme 
cryptographique, dans le but d' exploiter la presence de 
cette faute pour extraire une information secrete. 

La faute peut aussi provenir d'une erreur de calcul 
due au materiel mettant en ceuvre 1' algorithme 
cryptographique ; on considdre neanmoins, dans un cas 
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comme dans 1' autre, qu'il s'agit d'une attaque par 
faute. 

Ce type d' attaque est notamment envisageable avec 
l'algorithme RSA (du nom de ses auteurs Rivert, Shamir, 
Adleman) , qui est celui le plus utilise en 
cryptographie dans ce domaine d 1 application. La 
s6curit£ de l'algorithme RSA est basee sur la 
difficult^ de factoriser de grands norabres. Ces 
algorithmes utilisent notamment des calculs 
d' exponentiation & la puissance d, d etant un nombre 
secret . 

On rappelle bri^vement les principales etapes de 
l'algorithme RSA. 

On 6tablit un nombre N qui est le produit de deux 
nombres premiers p et q (N=p,q), ainsi qu ! un exposant 
public ou cle publique e et un exposant prive ou cle 
priv£e ou secrete d, satisfaisant la relation : 

e.d = 1 {modulo MN) > , (l) 
M-) etant la fonction de Carmichael. 
Selon un premier mode de f onctionnement de 
1 ' algorithrae RSA dit standard, les parametres publics 
sont (N,e> et les paramdtres priv6s sont (N,d), Etant 
donn& x compris dans I'intervalle ]0,N[, l 1 operation 
publique sur x qui peut etre par exemple le chiffrement 
du message x ou encore la verification de la signature 
x, consiste £ calculer : 

y - x e modulo N (2) 
L 1 operation priv£e correspondante qui peut §tre par 
exemple le dechif f rement du message chiffre y ou la 
generation d'une signature x, consiste k calculer : 
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y a modulo N (3) 
avec x= y d modulo N puisque e.d = 1 (modulo MN) ) . 

On va presenter un autre mode de f onctionnement dit 
mode CRT car bas§ sur le th§or£me des restes chinois 
("Chinese Remainder Theorem" ou CRT en anglais) et 
quatre fois plus rapide que celui de 1 f algorithme RSA 
standard. Selon ce RSA mode CRT, on n' effectue pas 
directement les calculs modulo N mais on effectue 
d'abord les calculs modulo p et modulo q. 

Les parametres publics sont (N,e) mais les 
parametres prives sont (p,q,d) ou (p, q, d p , d q , i q ) avec 
dp = d modulo(p-l), d q = d modulo(q-l) 
et i q = q" 1 modulo p. 
Par la relation (1), on obtient : 

ed p =l modulo (p-1) et ed q =l modulo (q-1) (4) 
L 1 operation publique s' effectue de la meme fa<?on 
que pour le mode de f onctionnement standard ; par 
contre pour 1' operation privee, on calcule d'abord : 

x p = y dp modp et x 4 » y d «modq 
Ensuite, par application du th£or£me des restes 
chinois, on obtient x = y d mod N par : 

x = CRT (x p , x q ) =x q +q [i q (Xp-Xq) modulo p] (5) 

L'algorithme RSA a §te pr£sente avec deux facteurs 
premiers p et q, pour simplifier l'expos6. On peut le 
g£neraliser au cas oil N est le produit de deux entiers 
p et q tels que pgcd(p,q)=l. Dans ce cas, 

dp - d (modulo Mp)), d q = d (modulo Mq) ) , 

i q reste inchang£ par rapport au cas precedent, 

ed p =l (modulo Mp) ) et ed q =l (modulo Mq) ) , 
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et les calculs de x p/ x q et x sont inchanges. 

Cette generalisation s f applique au mode standard 
comrne au mode CRT. 

On va £ pr6sent decrire un exemple d'attaque par 
faute basee sur l'obtention de deux signatures du meme 
message, I'une correcte x et 1 'autre incorrecte notde 
A x. 

La signature incorrecte a par exemple ete obtenue 
de la maniere suivante, L'attaquant, par une methode 
quelconque, injecte une erreur durant le calcul de x p/ 
mais pas durant celui de x q . La valeur de x p est alors 
incorrecte et notee "x p . Par contre, la valeur de x q est 
correcte* De ce fait, lorsque 1 ■ on recornbine les 
valeurs ^Xp et x q en appliquant le theor&me des restes 
chinois, la signature resultante A x est incorrecte, 

II suffit alors £ l'attaquant qui connait bien sQr 
par ailleurs les param&tres publics (N,e), de calculer 
le plus grand commun diviseur (pgcd) avec N, soit : 

pgdc ( "x - x, N) . 
Or, pgdc(~x - x, N)= q. II obtient alors le facteur 
secret q et done p et d p et d q . De ce fait, le code RSA 
est ef fectivernent casse. 

Autrement dit r si quelqu'un est capable d'injecter 
une erreur quelconque durant un calcul modulo p alors 
que le calcul modulo q est correct ou r6ciproquement , 
il peut casser complfetement le code RSA. 

II est 6galement possible de casser le code RSA a 
partir d'une signature incorrecte d'un message connu, 
Plusieurs cas d'attaques par faute sont presentes dans 
la publication "On the Importance of Checking 
Cryptographic Protocols for Faults" de D. Boneh, R.A. 
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DeMillo et R.J. Lipton , Advances in Cryptology- 
EUROCRYPT'97 pp. 37-51, 2l laquelle on peut se reporter. 

Une premiere contrernesure pour eviter ce genre de 
scenario consiste a recalculer l f ensemble de 
1 ' algorithme. On compare les valeurs obtenues a 
1* issue des calculs successifs. S'ils sont identiques, 
on suppose qu'il n*y a pas eu d f erreur injectee. Un 
probleme avec cette approche est qu'elle ne d£tecte pas 
une faute permanente. Par exemple, on ne peut deceler 
une attaque dans laquelle l'erreur injectee consiste a 
ce que la valeur d'un bit de memoire soit toujours 
fixee a 0 ou a 1 ("sticky bit" en anglais). 

Une autre contre-mesure a 1 1 attaque par faute est 
decrite par Shamir dans le document brevet WO 98 52319. 

On procede selon cette contre-mesure par 
1' algorithme suivant : 

1. Choisir un nombre aleatoire r de faible valeur, 

2. Calculer : 

Xrp = y d modulo r.p, et 
x rq = y d modulo r.q ; 

3. Si x rp * x rq (modulo r) , alors il y a erreur, 
(peut-etre induite par une attaque, ) et done 
interruption de 1 'algorithme, sinon ; 

4. Appliquer le th6or£me des restes chinois a x^ 
x rq , pour 6mettre x en sortie. 

On effectue ainsi respectivement les calculs 
modulo r.p et modulo r.q au lieu de modulo p et modulo 
q. Ensuite, on v§rifie que les deux valeurs x lp et x rq 
obtenues par ces calculs sont 6gales modulo r. Si ces 
deux valeurs sont differentes, il est certain qu'il y a 
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eu une erreur. Par contre, si elles sont egales, on 
peut supposer qu'il n f y a pas eu d' erreur, avec une 
probability de 1/r de se tromper dans cette 
supposition. 

5 Un inconvenient de cette methode est qu'elle est 

probabiliste, c f est-&-dire que les erreurs sont 
detectees avec une probability inferieure a 1 et que 
par consequent, elles ne sont pas toutes detectees. En 
outre, elle est couteuse en temps de calcul. Un autre 

10 inconvenient de la methode Shamir est qu'elle ne 
fonctionne que pour le mode CRT. Or, il est egalement 
envisageable d'utiliser le mode standard de 
1 1 algorithme RSA. 

La meilleure protection possible pour se proteger 

15 des attaques par faute consiste a verifier que la 
valeur x obtenue lors de l'operation privee (3) ou (5) 
(c'est-a-dire soit en mode standard, soit en mode CRT 
de l'algorithme RSA) , verifie la relation (2) y = x e 
modulo N de l'operation publique. En effet, lorsque 

20 cette relation est verifiee, on est assure qu'il n'y a 
pas eu d' erreur pendant le deroulement de l'operation 
privee de l'algorithme RSA. 

Mais le composant ou le dispositif mettant en 
ceuvre 1 T operation privee ne dispose pas tou jours de 

25 I'exposant public e, notamment lorsqu'il n f execute que 
l'operation privee. 

Au vu de ce qui precede, 1' invention propose un 
procede permettant de realiser certaines etapes d'un 
30 algorithme de cryptographie utilisant un exposant 
public e que l'on ne connait pas a priori. 
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Ce proceed permet en particulier de r^aliser une 
contre-mesure, notamment aux attaques par fautes, qui 
off re la raeilleure protection possible meme lorsqu'on 
ne connait pas l'exposant public e. 

L' invention a pour objet un procede de mise en 
ceuvre, dans un composant electronique, d'un algorithme 
de cryptographie utilisant des moyens de calcul, 
principalernent caract§rise en ce que qu 1 il consiste a 
rdaliser les Stapes suivantes : 

a) choisir une valeur e parmi un nombre determine 
de valeurs e ir ei etant des nombres entiers, 

b) tester si la valeur ei choisie v<§rifie une 
relation predeterminee: 

- si e'est le cas, alors e=e if et memoriser e 
en vue de son utilisation dans des calculs dudit 
algorithme de cryptographie, 

- si ce n'est pas le cas, r6it£rer les etapes 
precedentes en choisissant une autre valeur de e* et si 
aucune valeur de e t ne peut etre attribute a e alors 
constater que les calculs dudit algorithme de 
cryptographie utilisant la valeur e ne peuvent etre 
ef f ectu6s. 

Selon un mode de realisation de 1' invention, il 
consiste pr^alablement k l'etape b) , k choisir une 
valeur Y comprise dans l'intervalle ]0,N[ et £ 
attribuer a une valeur X le rSsultat de 1" operation Y d 
modulo N, d et N 6tant des nombres entiers determines 
et il consiste en ce que la relation predeterminee de 
I'etape b) est 



X c > mod N = Y 



2830146 

On choisit de preference Y=2. 

L 1 algorithrne de cryptographie peut etre base sur un 
algorithme de type RSA, notamment en mode standard ou 
en mode CRT, 

Selon un autre mode de realisation, la relation 
predetermine de l'etape b) est : eid p =l (modulo X(p)) , p 
et dp etant des nombres entiers determines et etant 
la fonction de Carmichael. 

Le nombre d p peut etre obtenu par d p =d (modulo Mp)) , 
d etant un entier predetermine - 

Selon une caracteristique de 1' invention, d q et q 
etant des norabres entiers determines, avec pgcd(p,q)=l, 
l'etape b) consiste a r6aliser les etapes suivantes : 

tester si eid p =l (modulo Mp)) , 

si c'est le cas, et si ei<A.(p), alors e=ei et 
memoriser e en vue de son utilisation dans des calculs 
dudit algorithme de cryptographie, 

si c'est le cas, et si e A >Mp) , alors tester si 
e±d q =l (modulo Mq) ) ; si c'est le cas, alors e=ei et 
memoriser e en vue de son utilisation dans des calculs 
dudit algorithme de cryptographie, 

si l'un des deux tests precedents n'est pas 
v<§rifie, reit£rer les etapes precedentes en choisissant 
une autre valeur de ei et si aucune valeur de e ± ne peut 
etre attribuee a e alors constater que les calculs 
dudit algorithme de cryptographie utilisant la valeur e 
ne peuvent etre effectu6s. 

Le nombre d q peut etre obtenu par d q -d (modulo \(q)) , 
d etant un entier predetermine. 
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L 1 algorithme de crypt ographie est avantageusement 
base sur un algorithme de type RSA en mode CRT. 

On choisit de preference ei« 2 36 +l ou ei*=3 . 

Selon une caract£ristique de I 1 invention, une 
valeur e± ayant 6te attribute a e, il consiste a obtenir 
£ l r issue d'une operation priv6e de 1 ■ algorithme RSA, 
une valeur x a partir d'une valeur y et a ce que ledit 
calcul utilisant la valeur e consiste a verifier si y = 
x e modulo N, N etant un noinbre entier predetermine. 

L 1 invention a aussi pour objet un composant 
electronique de securite, comprenant des moyens de 
calcul, une memoire de programme et une memoire de 
travail et des moyens de communication de donnees, 
caracterise en ce qu ! il met en oeuvre le procede tel que 
precedeminent decrit. 

L* invention se rapporte en particulier h une carte 
3 puce comprenant un composant electronique tel que 
decrit ci-dessus. 

D'autres particularity et avantages de 1 ' invention 
apparaitront clairement a la lecture de la description 
faite a titre d 1 exemple non limitatif et en regard de 
la figure 1 annexee qui represente schematiquement les 
elements d'une carte £ puce apte £ niettre en ceuvre 
1 'invention. 

Les modes de realisation sont decrits dans le cadre 
de cartes a puce, mais peuvent bien entendu s'appliquer 
a tout autre dispositif ou composant electronique de 
securite dote de moyens de calculs cryptographiques • 

Ainsi que le montre la figure 1, la carte a puce 1 
comprend un microprocesseur 2 couple a une memoire 
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figee (ROM) 3 et ^ une m6moire vive (RAM) 4, le tout 
formant un ensemble permettant, entre autres, 
1' execution d ■ algorithmes cryptographiques . Plus 
pr6cis6ment , le microprocesseur 2 comporte les moyens 
de calcul arithmetiques necessaires a 1 1 algorithme, 
ainsi que des circuits de transfert de donnees avec les 
m^moires 3 et 4. La rn<§moire fig6e 3 contient le 
programme executoire de 1' algorithme cryptographique 
sous forme de code source, alors que la memoire vive 4 
comporte des registres pouvant etre mis k jour pour le 
stockage de resultats des calculs. 

La carte & puce 1 comporte aussi une interface de 
communication 5 reliee au microprocesseur 2 pour 
permettre l'§change de donnees avec 1 ' environnement 
exterieur. L' interface de communication 5 peut §tre du 
type "£ contacts", 6tant dans ce cas forraee d'un 
ensemble de plots de contacts destines a se connecter & 
un contacteur d'un dispositif externe, tel qu'un 
lecteur de cartes, et/ou du type "sans contact". Dans 
ce dernier cas, 1' interface de communication 5 comporte 
une antenne et des circuits de communication par voie 
hertzienne permettant un transfert de donnees par 
liaison sans fil. Cette liaison peut aussi permettre 
un transfert d'§nergie d' alimentation des circuits de 
la carte 1. 

On va a present d6crire une methode permettant de 
valider la valeur d'un exposant public e que 1 1 on ne 
connait pas a priori. 

Elle est basee sur la constatation suivante : dans 
90% des cas, la valeur de e est e 0 =2 16 +l, dans 5% des 
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cas, la valeur de e est ei=3 et dans les autres cas, la 
valeur de e est autre. 

La m£thode consiste alors & choisir e 0 et & 
verifier que e=*e 0 ; si e*e 0 , alors on essaie avec ei. 

II se peut que pour une certaine application 
correspondant aux 5% d f autres cas, e ne soit pas egal a 
e 0 ni a ei. Aussi d6signe-t-on plus g6n6ralement la 
valeur de e par ei. Et la methode consiste finalement a 
choisir une valeur e ± parmi les ei envisages et a 
verifier que e=ei- 

Selon un premier mode de realisation, valable pour 
les modes standard ou CRT de 1 ■ algorithme RSA : 

on choisit arbitrairement une valeur Y comprise 
dans l'intervalle ]0,N[, 

on choisit une valeur ei, 

on calcule X - Y d modulo N par (3) en mode standard 
ou par (5) en mode CRT 

siX Ci mod N = Y alorse^e, 

et on memorise e 

sinon on choisit une autre valeur pour ex. 

On peut avantageusement choisir Y=2 de maniere a 
accelerer le calcul d 1 exponentiation Y d qui apparait 
dans la relation (3) ou (5) : cela revient alors a 
faire des additions au lieu de multiplications. 

On decrit a present un autre mode de realisation 
has6 sur la relation (4) ; il n'est valable qu'en mode 
CRT mais est alors plus efficace que le mode de 
realisation precedent : 

on choisit une valeur e if 
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on teste si eid p =l modulo (p-1) , (ou si eid p «l 
(modulo Mp) ) dans le cas g6n6ral) 

si oui et si ei<p (ou si ei<Mp) dans le cas 
general), alors e=ei et on memorise e 

si oui et si ei>p, (ou si e±^X(p) dans le cas 
general) alors e=ei avec une tres grande probability de 
l'ordre de 1-2/p. 

Dans le cas oil ei>p (ou si e±^?i(p) dans le cas 
g6n6ral), 1 T ambiguity peut etre lev§e avec une 
probability 6gale a 1 en testant si eid q =l modulo (q- 
1) (ou si eid q -l (modulo X,(q))dans le cas general). Si 
c'est le cas, e=ei et on memorise e. 

Cependant, dans la majorite des cas (ei=2 16 +l ou 
ei=3) , ei<p (ou ei<X(p) dans le cas g6n6ral) car p a une 
taille de 512 bits ou plus. 

Si I'un des tests n'est pas verifi6, on choisit 
une autre valeur pour e±. 

Si pour l'un ou l 1 autre mode de realisation, il 
n'existe pas parmi les ei, une valeur telle que e=ei, 
alors on ne peut effectuer les calculs faisant 
intervenir e. 

Lorsqu'on connait e, par 1 ' un ou 1 ' autre de ces 
modes de realisation, on peut alors verifier chaque 
operation privee (3) ou (5) en s'assurant que y=x e 
modulo N ou plus gen^ralement effectuer des calculs 
utilisant la valeur e qui est m£morisee. 

Comrne on l'a vu, ce proc§d6 peut bien sur etre 
applique a une contre-mesure. 

II est plus rapide que la contre-mesure d§crite 
dans l'etat de la technique et qui consiste a 



2830146 



recalculer 1* ensemble de 1 1 algorithme f c'est-a-dire a 
d'effectuer au moins un deuxieme calcul 
d' exponentiation a la puissance d, d etant de la taille 
de N, et a comparer les valeurs obtenues a 1* issue des 
calculs successifs. Le proced6 selon 1* invention 
consiste aussi a effectuer un deuxieme calcul 
d f exponentiation mais & la puissance e ; or e est 
petit . 

II permet en outre de detecter une faute 
permanente . 

II s' applique aussi bien dans le cas du mode 
standard de 1 1 algorithrae RSA que dans le cas du mode 
CRT ainsi qu f a la generalisation de ces modes. 
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REVEND I CAT I ONS 

1. Procede de raise en ceuvre, dans un composant 
felectronique, d'un algorithme de cryptographie 
utilisant des moyens de calcul, caracteris6 en ce que 
qu'il consiste a r<§aliser les etapes suivantes : 

a) choisir une valeur e parmi un nombre determine 
de valeurs e if ei §tant des nombres entiers, 

b) tester si la valeur ei choisie v^rifie une 
relation predetermine : 

- si c'est le cas, alors e=ei, et ra^moriser e 
en vue de son utilisation dans des calculs dudit 
algorithme de cryptographies 

- si ce n'est pas le cas, reiterer les Stapes 
precedentes en choisissant une autre valeur de ei et si 
aucune valeur de ex ne peut etre attribuee £ e alors 
constater que les calculs dudit algorithme de 
cryptographie utilisant la valeur e ne peuvent etre 
ef fectues . 

2. Procede selon la revendication pr6cedente, 
caract£rise en ce que prealablement a l'etape b) , il 
consiste a choisir une valeur Y comprise dans 
l'intervalle ]0,N[ et & attribuer a une valeur X le 
resultat de 1' operation Y d modulo N, d et N etant des 
nombres entiers determines et en ce que la relation 
predetermine de l'etape b) est 

X e > modN = Y 
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3. Precede selon la revendication pr£c6dente, 
caracterise en ce que Y=2. 

4. Procede selon l'une quelconque des 
revendications precedentes, caracterise en ce que 
1' algorithme de cryptographie est base sur un 
algorithme de type RSA. 

5. Procede selon la revendication precedente, 
caracterise en ce que 1' algorithme de type RSA est en 
mode standard ou en mode CRT. 

6. Procede selon la revendication 1, caracterise en 
ce que la relation predeterminee de l'etape b) est : 
eid p =l (modulo X(p)) , p et d p etant des nombres entiers 
determines et etant la fonction de Carmichael. 

7. Procede selon la revendication precedente, 
caracterise en ce que d p -d (modulo X(p)) , d etant un 
entier predetermine . 

8. Proced6 selon l'une quelconque des 
revendications 6 ou 7, caracterise en ce que, d q et q 
etant des nombres entiers determines, avec pgcd(p,q)=l, 
l'etape b) consiste ^ realiser les etapes suivantes : 

tester si eid p =l (modulo X(p)) , 

si c f est le cas, et si ej;<Mp) , alors e=ei et 
memoriser e en vue de son utilisation dans des calculs 
dudit algorithme de cryptographie, 
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si c'est le cas, et si e±>X{p) , alors tester si 
eid q =l (modulo Mq) ) ; si c'est le cas, alors e=e A et 
memoriser e en vue de son utilisation dans des calculs 
dudit algorithme de cryptographie, 

si l'un des deux tests pr6c6dents n'est pas 
v£rifie, r^iterer les etapes pr6c6dentes en choisissant 
une autre valeur de ei et si aucune valeur de ei ne peut 
£tre attribute ci e alors constater que les calculs 
dudit algorithme de cryptographie utilisant la valeur e 
ne peuvent etre effectues. 

9. Proced£ selon la revendication precedente 
caract^rise en ce que d q -d (modulo X(q)) , d 6tant un 
entier predetermine. 

10. Procede selon l'une quelconque des 
revendications 6 a 9, caracterise en ce que 
1 1 algorithme de cryptographie est base sur un 
algorithme de type RSA en mode CRT. 



11. Procede selon l'une quelconque des 
revendications precedentes, caractdrise en ce que 

e^ 2 16 +1. 

12. Procede selon l'une quelconque des 
revendications 1 a 10, caracterisd en ce que e^— 3 . 



13. Proc6d6 selon l'une quelconque des 
revendications precedentes et selon lequel une valeur ei 
a ete attribute & e, caracteris§ en ce qu'il consiste £l 
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obtenir a l r issue d'une operation priv§e de 
1 1 algorithrae RSA, une valeur x a partir d'une valeur y 
et en ce que ledit calcul utilisant la valeur e 
consiste a verifier si y = x e modulo N, N etant un 
nombre entier predetermine. 

14. Composant 61ectronique de security, comprenant 
des moyens de calcul (2), une m^moire de programme (3) 
et une m6moire de travail (4) et des moyens de 
communication de donn£es (5), caract£ris<§ en ce qu ! il 
met en oeuvre le proced6 selon l'une quelconque des 
revendications precedentes. 



15. Carte £ puce comprenant un composant 
£lectronique selon la revendication precedente. 
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Claims 

1. A method of securely implementing a public-key 
cryptography algorithm, the public key being composed 
5 of an integer n that is a product of two large prime 
numbers p and q, and of a public exponent e, said 
algorithm also including a private key, said method 
consisting in determining a set E comprising a 
predetermined number of prime numbers e± that can 
10 correspond to the value of the public exponent e, said 
method being characterized in that it comprises the 
following steps consisting in: 



a) computing a value G = 




ei € E 



15 such that e/e± is less than <£(n) for any ei 

belonging to E, where <I> is the Euler totient function; 

b) applying the value G to a predetermined 
computation involving, as a modular product, only the 
modular product of G multiplied by said private key of 

2 0 the algorithm; 

c) for each e±, testing whether the result of said 
predetermined computation is equal to a value 0/e±: 

- if so, then attributing the value ei to e, and 
storing e with a view to it being used in computations 

25 of said cryptography algorithm; 

- otherwise, observing that the computations of 
the cryptography algorithm using the value e cannot be 
performed. 
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2. A method according to claim 1, characterized 
in that the cryptography algorithm is based on an RSA- 
type algorithm in standard mode. 

5 

3. A method according to claim 2, characterized 
in that the predetermined computation of step b) 
consists in computing a value C: 

C = G.d modulo <I> (n) , where d is the corresponding 
10 private key of the RSA algorithm such that e.d = 1 
modulo <t>(n) and O is the Euler totient function. 

4. A method according to claim 2, characterized 
in that the predetermined computation of step b) 

15 consists in computing a value C: 

C = Cd modulo X(n), where d is the corresponding 
private key of the RSA algorithm such that e.d = 1 
modulo Mn) , with A. being the Carmichael function. 

2 0 5. A method according to claim 1, characterized 

in that the cryptography algorithm is based on an RSA- 
type algorithm in CRT mode. 

6. A method according to claim 5, characterized 
25 in that the predetermined computation of step b) 
consists in computing a value C: 

C = G.dp modulo (p-1) , where d p is the 

corresponding private key of the RSA algorithm such 
that e.dp = 1 modulo (p-1) . 
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7. A method according to claim 5, characterized 
in that the predetermined computation of step b) 
consists in computing a value C: 

5 C S.dq modulo (q-1), where d q is the 

corresponding private key of the RSA algorithm such 
that e.dq = 1 modulo (q-1) . 

8. A method according to claim 5, characterized 
10 in that the predetermined computation of step b) 

consists in computing two values C x and C 2 such that: 

Ci = G.dp modulo (p-1) , where d p is the 

corresponding private key of the RSA algorithm such 
that e.dp = 1 modulo (p-1) ; 

15 C 2 = G.dq modulo (q-1), where d q is the 

corresponding private key of the RSA algorithm such 
that e.d q = 1 modulo (q-1) ; 

and in that the test step c) consists, for each 
e i# in testing whether Ci and/or C 2 is equal to the 
2 0 value C/ei: 

- if so, then attributing the value ei to e and 
storing e with a view to it being used in computations 
of said cryptography algorithm ,- 

- otherwise, observing that the computations of 
25 said cryptography algorithm using the value e cannot be 

performed. 

9. A method according to claim 3 or claim 4 and 
in which a value ei has been attributed to e, said 
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method being characterized in that the computations 
using the value e consist in: 

choosing a random integer r; 

computing a value d* such that d* = d+r.(e.d-l); 

5 and 

implementing a private operation of the algorithm 
in which a value x is obtained from a value y by 
applying the relationship x = y d * modulo n. 

10 10. A method according to any one of claims 2 to 

4, and in which a value e A has been attributed to e, 
said method being characterized in that it consists, 
after a private operation of the algorithm, in 
obtaining a value x from a value y, and in that the 

15 computations using the value e consist in checking 
whether x e = y modulo n. 

11. A method according to any one of claims 5 to 
8, and in which a value e A has been attributed to e, 
20 characterized in that it consists, after a private 
operation of the algorithm, in obtaining a value x from 
a value y, and in that the computations using the value 
e consist in checking firstly whether x e = y modulo p 
and secondly whether x e = y modulo q. 



12. A method according to any preceding claim, 
characterized in that the set E comprises at least the 
following ei values: 3, 17, 2 16 +1. 
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13. An electronic component characterized in that 
it comprises means for implementing the method 
according to any preceding claim. 

5 14 . A smart card including an electronic 

component according to claim 13 . 

15. A method of securely implementing a public- 
key cryptography algorithm, the public key being 

10 composed of an integer n that is a product of two large 
prime numbers p and q, and of a public exponent e, said 
method consisting in determining a set E comprising a 
predetermined number of prime numbers e± that can 
correspond to the value of the public exponent e, said 

15 method being characterized in that it comprises the 
following steps consisting in: 

a) choosing a value ei from the values of the set 

E; 

b) if 5(p)= 5(q), where 5n, 5(p), and 6(q) are 
2 0 functions giving the number of bits encoding 

respectively the number n, the number p, and the number 
q, testing whether the chosen e ± value satisfies the 
relationship : 

(1-ei.d) modulo n < ei . 2 (5(n>/2) +1 
25 or said relationship as simplified: 

(-ei.d) modulo n < ei . 2 (5(n)/2)+1 

where 5(p), 5 (q) , and 5 (n) are the functions 
giving the numbers of bits respectively encoding the 
number p, the number q, and the number n; 



6 



c) if the test relationship applied in the 
preceding step is satisfied and so e = ei, storing e 
with a view to using it in computations of said 
cryptography algorithm; 
5 - otherwise, reiterating the preceding steps 

while choosing another value for e A from the set E until 
an ei value can be attributed to e and, if no ei value 
can be attributed to e, then observing that the 
computations of said cryptography algorithm using the 
10 value of e cannot be performed. 

16. A method of securely implementing a public- 
key cryptography algorithm according to claim 15, 
characterized in that it consists in performing step b 

15 in the following manner when 5(p)#5(q), i.e. when p and 
q are unbalanced, testing whether the chosen ei value 
satisfies the following relationship: 
(l-ei-d) modulo n < b± . 2 9+1 
or said relationship as simplified: 
2 0 (-ei.d) modulo n < ei . 2 9+1 

with g=max (5(p), 5 (q) ) , if 5(p) and 6(q) are 
known, or, otherwise, with g=5(n)/2+t, where t 
designates the imbalance factor or a limit on that 
factor 

25 

17. A method according to claim 15 or claim 16, 
characterized in that, for all values of i, ei<2 16 +l, 
and in that the step b) is replaced by another test 
step consisting in: 



b) if 5(p)=8(q), testing whether the chosen e A 
value satisfies the relationship: 

(1-ei.d) modulo n < ei . 2 <6(n)/2> +17 
or said relationship as simplified: 

(-ei.d) modulo n < ei . 2 (5(n)/2)+17 

where 8(p), 5 (q) , and 5(n) are the functions 
giving the numbers of bits respectively encoding the 
number p, the number q, and the number n; 

otherwise, when p and q are unbalanced, testing 
whether the chosen ei value satisfies the following 
relationship: 

(1-ei.d) modulo n < ei . 2 g+17 

or said relationship as simplified: 

(-ei.d) modulo n < e ± . 2 9+17 

with g=max (S(p),8(q)), if 8(p) and 8 (q) are 
known, or, otherwise, with g=8(n)/2+t, where t 
designates the imbalance factor or a limit on that 
factor . 

18. A method according to claim 15 or claim 16, 
characterized in that step b) is replaced with another 
test step consisting in: 

testing whether the chosen e A value satisfies the 
relationship whereby: 

the first most significant bits of (1-ei.d) modulo 
n are zero; 

or said relationship as simplified whereby: 

the first most significant bits of (-ei.d) modulo 
n are zero. 
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19. A method according to claim 18, characterized 
in that the test is performed on the first 12 8 most 
significant bits. 

20. A method according to any one of claims 15 to 

19, characterized in that the cryptography algorithm is 
based on an RSA-type algorithm in standard mode. 

21. A method according to any one of claims 15 to 

20, and in which an ei value has been attributed to e, 
said method being characterized in that the 
computations using the value e consist in: 

- choosing a random integer r; 

- computing a value d* such that d* = d+r. (e.d- 

1) ; 

implementing a private operation of the 
algorithm in which a value x is obtained from a value y 
by applying the relationship x = y d * modulo n. 

22. A method according to any one of claims 15 to 
2 0 and in which an e± value has been attributed to e, 
said method being characterized in that it consists, 
after a private operation of the algorithm, in 
obtaining a value x from a value y and in that the 
computations using the value e consist in checking 
whether Xe = y modulo n. 
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23. A method according to any one of claims 15 to 
22, characterized in that the set E comprises at least 
the following ei values: 3, 17, 2 16 +1. 

24. A method according to claim 23, characterized 
in that the preferred choice of the values ei from the 
values of the set E is made in the following order: 
2 16 +1, 3, 17. 

25. An electronic component characterized in that 
it comprises means for implementing the method 
according to any one of claims 15 to 24. 

26. A smart card including an electronic 
component according to claim 25. 



